FileReader是一個標準API介面，它的主要作用是允許web應用程序非同步讀取存儲在用戶計算機上的文件(或原始數據緩衝區)的內容，使用「File」或「Blob」對象指定要讀取的文件或數據。

FileReader被免費使用後的漏洞是一類內存損壞錯誤，它允許損壞或修改內存中的數據，使低許可權用戶能夠在受影響系統中進行提權。

被免費使用後的FileReader組件漏洞可以使沒有許可權的攻擊者獲得Chrome瀏覽器許可權，從而使他們能夠逃離沙箱，並在目標系統上運行任意代碼。

攻擊者所需要做的就是誘使受害者打開或者是重定向到一個特殊的網頁，而無需任何進一步的交互。

針對這一安全漏洞的補丁將會在Chrome瀏覽器72.0.3626.121版本發布給用戶，適用於Windows、Mac和Linux操作系統，用戶會在幾天內收到此補丁。

因此，請確保您的系統正在運行Chrome瀏覽器的最新版本。

本文由白帽彙整理並翻譯，不代表白帽匯任何觀點和立場

來源：國外發現最新的谷歌瀏覽器0day漏洞被黑客頻繁利用|NOSEC安全訊息平臺 - NOSEC.ORG

原文：https://thehackernews.com/2019/03/update-google-chrome-hack.html

白帽匯從事信息安全，專註於安全大數據、企業威脅情報。

公司產品：FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。

為您提供：網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。

推薦閱讀：